Троянская программа, которая осуществляет скачивание с Интернет и
установку на компьютер пользователя вредоносных программ без ведома
пользователя. Программа является приложением Windows (PE EXE-файл).
Имеет размер 5554 байт. Упакована FSG 2.0. Распакованный размер - 32 КБ.
Написана на C++.
Деструктивная активность:
После запуска троянца происходит чтение последних 255 байт своего тела.
В них в зашифрованном виде расположены ссылки на файлы для скачивания
(%URL%). После расшифровки проверяется правильность строки со ссылкой
(первый символ должен быть "H" или "h"). В данном случае это следующие
ссылки:
* http://marina.users.*************.com/1/1.exe -
детектируется
Антивирусом Касперского как Trojan-Spy.Win32.BZub.gd, 96984 байта
* http://marina.users.*************.com/1/zupacha.exe -
детектируется
Антивирусом Касперского как Trojan-Proxy.Win32.Cimuz.ci, 17920 байт
* http://marina.users.*************.com/1/chii.exe -
детектируется
Антивирусом Касперского как Trojan-Proxy.Win32.Cimuz.bw, 48128 байт
Загруженные файлы сохраняются в корневом каталоге Windows (%WinDir%).
После загрузки каждого из файлов происходит его запуск.